La sécurité des conséquences de la désactivation de CURLOPT_SSL_VERIFYHOST (libcurl/openssl)
Quelles sont les conséquences sur la sécurité de l'Activation CURLOPT_SSL_VERIFYPEER et la Désactivation de la CURLOPT_SSL_VERIFYHOST?
OriginalL'auteur user1782427 | 2012-12-06
Vous devez vous connecter pour publier un commentaire.
CURLOPT_SSL_VERIFYPEER vérifie que la distance certificat est valide, c'est à dire que vous avez confiance qu'il a été émis par une autorité de certification de confiance et qu'elle est véritable.
CURLOPT_SSL_VERIFYHOST vérifie que le cert a été attribué à l'entité que vous vouliez parler.
De le comparer à un scénario de la vie réelle, VERIFYPEER est comme la vérification de la forme de l'ID est celui que vous reconnaître (c'est à dire passeport d'un pays en qui vous avez confiance, le personnel de la carte à partir d'une entreprise que vous connaissez, ...). VERIFYHOST est comme vérifier le nom sur la carte correspond à qui vous vouliez parler.
Si vous n'utilisez pas VERIFYHOST (la valeur correcte est 2, pas 1, btw), vous désactivez la vérification du nom d'hôte et d'ouvrir la porte à des attaques de type MITM: toute personne ayant une forme d'identité qui vous avez confiance peut usurper l'identité de toute personne au sein de l'ensemble des Identifiants qui vous avez confiance, par exemple, n'importe qui avec un passeport valide ne peut prétendre qu'ils sont quelqu'un d'autre avec un passeport valide.
Pourquoi voulez vous connecter avec l'adresse IP? Il il un certificat de votre propre autorité de certification (ou auto-signé)?
J'ai 2 serveurs (1.1.1.1 et 2.2.2.2), le DNS pour example.com contient 2 dossiers (de ces adresses ip). Le client de choisir au hasard l'un d'entre eux et de se connecter à l'adresse IP et non pas au nom d'hôte. Je voudrais openSSL de m'appeler quand il vérifie le champ nom commun, donc je peux comparer le certificat nom commun avec example.com si c'est ok, je vais accepter le certificat. Je n'ai pas vu que libcurl soutient que donc je suppose que je dois écrire ma propre mise en œuvre. Le certificat de example.com est une de confiance Verisign cert.
OriginalL'auteur Bruno